內(nèi)審檢查表綜合管理部

內(nèi)審檢查表被審核部門綜合管理部審核成員：嚴玉成陪同人員：張小波審核日期2020年3月10日審核主題6.1、7.2、7.3、7.4、7.5、8.1、8.2、8.3、9.1、9.2、A.6.1.1、A.6.1.2、A.7、A.8、A.9、A.11、A.12、A.13、A.15.A.16、A.17、A.18核查要素/條款核查事項核查記錄符合項觀察項不符合項6.18.18.2應(yīng)對風(fēng)險和機會的措施運行的規(guī)劃和控制信息安全風(fēng)險評估前期策略了風(fēng)險評估準則、風(fēng)險評估規(guī)范根據(jù)風(fēng)險評估方法進行了風(fēng)險評估?！?.28.3信息安全目標和規(guī)劃實現(xiàn)信息安全風(fēng)險處置制定了信息安全目標：確保每年重大信息安全事件（事故）發(fā)生次數(shù)為零。目標通過一年來的運行和保持，得到完成。信息安全不可接受風(fēng)險處理計劃，提供“不可接受風(fēng)險處理檢查表”。√7.27.37.4能力意識溝通人力行政部通過制定培訓(xùn)計劃、招聘新員工、聘請外部專家指導(dǎo)等方式確保組織人員有勝任信息安全職責(zé)的能力。人力行政部通過培訓(xùn)、會議、標語宣貫等方式培養(yǎng)員工的信息安全意識。人力行政部負責(zé)與組織內(nèi)外部各相關(guān)方的溝通，溝通方包括客戶、政府機關(guān)、內(nèi)部員工等，溝通方式包括公函、會議、電子郵件、電話等等?！?.5文件記錄信息公司編制管理手冊、SOA適用性聲明1套，35個程序文件，信息安全記錄96個；明確了方針和目標管理手冊、適用性聲明；形成35個程序信息安全管理體系運行所必須的程序文件所需提供的記錄96個，包括《信息安全風(fēng)險評估報告》、《信息安全風(fēng)險處置計劃》目前《適用性聲明》√9.2內(nèi)部審核內(nèi)審情況：2018年7月12日實施了內(nèi)審檢查活動，相關(guān)的記錄完整。√A.6.1.1信息安全的角色和職責(zé)人力行政部：（1）負責(zé)管理體系的建立、實施、保持、測量和改進。（2）負責(zé)文件控制、記錄控制、內(nèi)部審核的組織、管理評審的組織實施和體系的改進。（3）負責(zé)本公司保密工作的管理。（4）負責(zé)安全區(qū)域的保衛(wèi)管理部門，負責(zé)安全區(qū)域的管理。（5）負責(zé)部門的資產(chǎn)登記及評價、風(fēng)險評估。（6）負責(zé)涉密信息上網(wǎng)、涉密計算機運行、檢修、報廢的監(jiān)督管理。（7）對信息安全日常工作實施動態(tài)考核，將信息安全管理作為企業(yè)管理的重要工作內(nèi)容。（8）負責(zé)協(xié)調(diào)各部門的定崗定編工作；提出相關(guān)崗位人員配置的建議。（9）制定員工培訓(xùn)與開發(fā)計劃，建立培訓(xùn)與開發(fā)體系包括人員聘用管理、任職培訓(xùn)、保密協(xié)議簽署、員工的能力、專業(yè)技能培訓(xùn)、學(xué)歷教育培訓(xùn)、綜合素質(zhì)培訓(xùn)等，并制訂相應(yīng)管理制度。（10）建立和完善薪酬體系；制訂員工福利政策；員工績效管理；協(xié)助行政管理部制訂員工績效管理的相關(guān)制度，并組織實施。（11）負責(zé)員工各項保險和住房公積金帳戶的申報和管理；負責(zé)員工考勤、休假管理。（12）負責(zé)員工勞動合同管理、員工離職管理、員工人事檔案管理。（13）本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求?！藺.6.1.2《信息安全管理手冊》，公司在信息安全管理職責(zé)明細表里明確了信息安全職責(zé)。公司設(shè)立信息安全管理者代表，全面負責(zé)ISMS的建立、實施與保持工作?！藺7.1.1A7.1.2A7.2.1A7.2.2A7.2.3A7.3.1審查任用條款和條件管理職責(zé)信息安全教育和培訓(xùn)紀律處理過程任用終止或變更職責(zé)人力行政部負責(zé)初始錄用員工進行能力、信用考察，每年對關(guān)鍵信息安全崗位進行年度考察，對于不符合安全要求的不得錄用或進行崗位調(diào)整。在《勞動合同》中明確規(guī)定了保密的義務(wù)及違約的責(zé)任。10月份開展了信息安全相關(guān)的培訓(xùn)，查看《培訓(xùn)簽到表》具備《信息安全獎懲制度》，并按制度執(zhí)行。具備《人力資源管理程序》，并按制度執(zhí)行?！藺.8.1.1A.8.1.2A.8.1.3A.8.1.4資產(chǎn)清單資產(chǎn)所有權(quán)資產(chǎn)的可接受使用資產(chǎn)的歸還公司對資產(chǎn)進行了評估。包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施及人力資源。對每一項信息資產(chǎn)，根據(jù)《信息安全風(fēng)險管理程序》識別出了重要資產(chǎn)及高風(fēng)險的項目。其中高風(fēng)險的資產(chǎn)有公司軟件源代碼等。自此之后公司完成了風(fēng)險處理計劃、檢查、殘余風(fēng)險評估報告，以及驗證。有《重要信息資產(chǎn)清單》，信息資產(chǎn)包括數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、人員、經(jīng)驗?！缎畔①Y產(chǎn)清單》、《重要信息資產(chǎn)清單》都定義了責(zé)任部門或責(zé)任人——提供了資產(chǎn)歸還的記錄表。√A.8.3.1A.8.3.2A.8.3.3可移動介質(zhì)的管理介質(zhì)的處置物理介質(zhì)傳輸提供可移動介質(zhì)授權(quán)使用清單1份?！猩暾埐块T、申請人、部門審核人、申請介質(zhì)類型、申請使用數(shù)量、申請使用時間、行政審核人、行政批示、經(jīng)辦人。——目前無介質(zhì)處置。√A.9.1.1A.9.1.2訪問控制策略網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的訪問網(wǎng)絡(luò)劃分為三個網(wǎng)段，內(nèi)網(wǎng)使用固定IP,入網(wǎng)需要申請，并綁定MAC地址?，F(xiàn)場查《網(wǎng)絡(luò)安全配置表》，符合要求。提供了《開通外網(wǎng)申請表》符合√A.9.2.1A.9.2.2A.9.2.3A.9.2.4A.9.2.5A.9.2.6用戶注冊及注銷用戶訪問開通特殊訪問權(quán)限管理用戶秘密鑒別信息管理用戶訪問權(quán)限的復(fù)查撤銷或調(diào)整訪問權(quán)限對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，須由管理員操作。提供金蝶K3系統(tǒng)用戶列表1份。特權(quán)分配僅以它們的功能角色的最低要求為據(jù)，有些特權(quán)在完成特定的任務(wù)后應(yīng)被收回，確保特權(quán)擁有者的特權(quán)是工作需要的且不存在富裕的特權(quán)。各系統(tǒng)管理員應(yīng)對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配、規(guī)定不使用簡單口令，口令必須至少要含有6位以上字母+數(shù)字。查：普通用戶只能訪問被授權(quán)的服務(wù)，對計算機系統(tǒng)的訪問權(quán)都被限制。√A.9.3.1使用秘密鑒別信息公司范圍的計算機登錄口令要求6位以上。抽查了4臺PC機，口令符合要求√A.9.4.1A.9.4.2A.9.4.3A.9.4.4A.9.4.5信息訪問控制安全登錄規(guī)程口令管理系統(tǒng)特殊權(quán)限實用工具軟件的使用對程序源代碼的訪問控制——用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)?！F(xiàn)場測試，審核員通過訪問網(wǎng)絡(luò)上的PC機，有用戶名，密碼，試圖隨意輸入密碼3次，均無法登陸?！杏嬎銠C用戶在使用口令時應(yīng)遵循以下原則：所有活動帳號都必須有口令保護，所有系統(tǒng)初始默認口令必須更改等?！獩]有安裝實用工具?！緵]有軟件開發(fā)，只有網(wǎng)站服務(wù)采用托管形式，由第三方公司負責(zé)運營?！峁毒W(wǎng)站維護協(xié)議》，合同有效日期從2014年4月30日至2015年4月29日，條款一，規(guī)定服務(wù)方所應(yīng)承擔的業(yè)務(wù)與遵守的規(guī)定；條款五，規(guī)定了雙方的法律責(zé)任與處理辦法√A.10.1.1A.10.1.2使用密碼控制的策略密鑰管理公司的密碼控制是由銀行提供的加密機。由銀行專員到公司內(nèi)導(dǎo)入密鑰?！藺.11.1.1A.11.1.2A.11.1.3A.11.1.4A.11.1.5A.11.1.6物理安全周邊物理入口控制辦公室、房間和設(shè)施的安全保護外部環(huán)境威脅的安全防護在安全區(qū)域工作交接區(qū)安全——現(xiàn)場查公司大門設(shè)有接待處——現(xiàn)場查《外來人員來訪登記表》，登記信息包含：來訪人員姓名，時間，單位，身份證，事由，被訪人√A.11.2.1A.11.2.2A.11.2.3A.11.2.4A.11.2.5A.11.2.6A.11.2.7A.11.2.8A.11.2.9設(shè)備安置和保護支持性設(shè)施布纜安全設(shè)備維護資產(chǎn)的移動組織場外設(shè)備和資產(chǎn)的安全設(shè)備的安全處置或在利用無人值守的用戶設(shè)備清空桌面和屏幕策略——公司機房外包給第三方進行管理?！峁┓?wù)器每周檢查記錄?！F(xiàn)場查公司目前沒有組織場所外的信息處理設(shè)備使用?！忻舾行畔⒌脑O(shè)備在報廢或該做他用時，由使用部門應(yīng)利用安全的處置方法將設(shè)備中存儲的敏感信息清除并保存清除記錄。對舊機器的硬盤砸壞，物理破壞后。公司目前未發(fā)生設(shè)備處置?！峁╇娮釉O(shè)備領(lǐng)用簽字單。有申請人、主管簽字和日期?！烂婢鼙３指蓛簟藺.12.1.1A.12.1.2A.12.1.2A.12.1.4文件化的操作規(guī)程變更管理容量管理開發(fā)、測試和運行環(huán)境分離——程序文件34個——現(xiàn)場了解目前沒有信息系統(tǒng)的變更?！峁┓?wù)器容量監(jiān)控記錄。有服務(wù)器、硬件配置、總?cè)萘?、已用空間、剩余空間。每日通過手工登錄，通過服務(wù)器陣列備份通用備份，按照容量管理程序文件記錄?！F(xiàn)場查公司目前無軟件開發(fā)和測試活動，目前使用的信息系統(tǒng)由供應(yīng)商負責(zé)安裝測試，√A.12.2.1控制惡意軟件——使用360殺毒軟件、金山殺毒軟件?！Y產(chǎn)編號00007劉*,00015李**,00001陳*臺式機，使用360殺毒，360衛(wèi)士?！藺.12.3.1信息備份——沒有對綜合管理部將設(shè)計開發(fā)資料進行數(shù)據(jù)備份√A.12.4.1A.12.4.2A.12.4.3A.12.4.4事態(tài)記錄日志信息的保護管理員和操作員日志時鐘同步——現(xiàn)場查公司通過門衛(wèi)進行進出登記記錄，保安7*24小時值班，進入辦公大樓有前臺，前臺負責(zé)公司職員的考勤，現(xiàn)場查有打卡機，同時負責(zé)外來人員監(jiān)控?！F(xiàn)場查只有系統(tǒng)管理員有權(quán)察看日志，服務(wù)器均開啟管理員和操作員日志?！F(xiàn)場查公司的電腦設(shè)置為與Internet時間自動校對，未連接網(wǎng)絡(luò)的電腦定期校對電腦時間?！藺.12.5.1在運行系統(tǒng)上安裝軟件——對軟件在作業(yè)系統(tǒng)的執(zhí)行進行嚴格控制，在新軟件安裝或軟件升級之前，應(yīng)經(jīng)主管部門負責(zé)人審核同意后方可進行。計算機終端用戶除非授權(quán)，否則嚴禁私自安裝任何軟件?，F(xiàn)場查目前安裝軟件統(tǒng)一管理安裝。√A.12.6.1A.12.6.2 技術(shù)脆弱性的控制限制軟件安裝計算機安裝了360安全衛(wèi)士，自動掃描系統(tǒng)漏洞，人力行政部申意——系統(tǒng)應(yīng)用程序的使用進行限制和嚴格控制，并規(guī)定授權(quán)的使用者等，只有經(jīng)過授權(quán)的系統(tǒng)管理員才可以使用實用工具，現(xiàn)場查服務(wù)器上沒有安裝實用工具?！藺.12.7.1信息系統(tǒng)審計控制措施——漏洞掃描工具使用JP1，只有信息系統(tǒng)課系統(tǒng)管理員有權(quán)限使用?！獌?nèi)部使用360殺毒軟件對個人計算機進行病毒查殺√A.13.1.1A.13.1.2A.13.1.3網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)隔離——提供《網(wǎng)絡(luò)拓撲圖》，描述網(wǎng)絡(luò)結(jié)構(gòu)并表示網(wǎng)絡(luò)的各組成部分之間在邏輯上和物理上的相互連接。公司內(nèi)部的計算機，只有授權(quán)的可以上外網(wǎng)，其他的都不能訪問外網(wǎng)，現(xiàn)場查連網(wǎng)情況未發(fā)現(xiàn)異常。——公司路由器放置于機房內(nèi)，目前劃分為3個網(wǎng)段?！獮榇_保公司網(wǎng)絡(luò)安全，采用邏輯方式進行外部網(wǎng)絡(luò)隔離，內(nèi)網(wǎng)與外網(wǎng)物理隔離。現(xiàn)場查財務(wù)部內(nèi)電腦沒有連接網(wǎng)絡(luò)。√A.13.2.1A.13.2.2A.13.2.3A.13.2.4信息傳遞策略和規(guī)程信息傳遞協(xié)議電子消息發(fā)送保密性或不泄露協(xié)議對信息交流應(yīng)作適當?shù)姆婪?，嚴禁在無保密措施的通信設(shè)備及計算機網(wǎng)絡(luò)中傳遞企業(yè)秘密?！蛻敉ㄟ^企業(yè)郵箱Email，通過內(nèi)部騰訊通?！F(xiàn)場查公司的電子郵件目前只用于公司內(nèi)部信息交換、對外發(fā)送公開的報價單。內(nèi)部通過騰訊通進行交換文件。√A.15.1.1A.15.1.2A.15.1.3供應(yīng)商關(guān)系的信息安全策略處理供應(yīng)商協(xié)議的安全問題信息和通信技術(shù)供應(yīng)鏈——與供應(yīng)商簽訂年度協(xié)議，有安全保密協(xié)議，有雙方負責(zé)人簽字，合同專用章，√A.15.2.1A.15.2.2供應(yīng)商服務(wù)的監(jiān)視和評審供應(yīng)商服務(wù)的變更管理——提供第三方評審記錄表?！椤恫少徍贤瑫?，規(guī)定了對于服務(wù)方所提供服務(wù)的要求細則重要事項條款：規(guī)定了對于服務(wù)方違約的處理辦法符合。第三方服務(wù)的更改，包括更改和加強網(wǎng)絡(luò)，使用新技術(shù)，更改服務(wù)設(shè)施的物理位置，更改供應(yīng)商?！壳皼]有第三方服務(wù)的變更?！藺.16.1.1A.16.1.2A.16.1.3A.16.1.4A.16.1.5A.16.1.6A.16.1.7職責(zé)和規(guī)程報告信息安全事態(tài)報告信息安全弱點評估和確定信息安全事態(tài)信息安全事件響應(yīng)對信息安全事件的總結(jié)證據(jù)的收集安全事情、事故一經(jīng)發(fā)生，事情、事故發(fā)現(xiàn)者、責(zé)任者應(yīng)立即向網(wǎng)管報告，網(wǎng)管應(yīng)及時對事情、事故進行反應(yīng)處理。所有員工有報告安全事故、事情的義務(wù)。目前沒有計算機中病毒情況，未發(fā)生安全事件。各部門及全體員工應(yīng)按照要求及時識別安全弱點及可能的安全威脅，一旦發(fā)現(xiàn)應(yīng)及時向有關(guān)人員或部門報告并記錄，主管部門或安全管理負責(zé)人應(yīng)采取有效的預(yù)防措施，防止威脅的發(fā)生。填寫安全弱點報告在《信息安全事件報告表》中，包括以下內(nèi)容：1）安全弱點的原因，2）安全弱點的預(yù)防處置措施及改進計劃，3）安全弱點報告提交給信息安全管理小組；√A.17.1.1A.17.1.2A.17.1.2信息安全連續(xù)性計劃實施信息安全連續(xù)性計劃驗證、評審和評價信息安全連續(xù)性計劃公司建立并實施管理程序，在發(fā)生災(zāi)難或安全故障時，實施持續(xù)性管理計劃，確保關(guān)鍵業(yè)務(wù)及時得到恢復(fù)。——該部門編制《業(yè)務(wù)持續(xù)性管理實施計劃》，由信息安全管理者代表批準，以便在重要系統(tǒng)發(fā)生中斷或故障后，實施持續(xù)性管理計劃，以保證系統(tǒng)或作業(yè)中斷的及時恢復(fù)?！F(xiàn)場查本部門對業(yè)務(wù)連續(xù)性的敏感度不高，對于由于各種原因造成的業(yè)務(wù)中斷，采用數(shù)據(jù)備份恢復(fù)方案，在顧客可容忍的時間范圍內(nèi)能恢復(fù)業(yè)務(wù)的正常辦理?！F(xiàn)場查《業(yè)務(wù)持續(xù)性管理實施計劃》中有影響的關(guān)鍵生產(chǎn)作業(yè)或管理過程?！F(xiàn)場提供《業(yè)務(wù)持續(xù)性管理實施計劃和框架》，符合要求。每半年制定一次。有序號、系統(tǒng)名稱、影響的關(guān)鍵生產(chǎn)作業(yè)或管理過程、故障或災(zāi)難、系統(tǒng)恢復(fù)與應(yīng)急措施、系統(tǒng)回復(fù)時限要求、對公司業(yè)務(wù)活動的影響、責(zé)任部門/人?！F(xiàn)場提供《ISMS-業(yè)務(wù)持續(xù)性管理計劃評審報告》，符合要求。√A.17.2.1信息處理設(shè)施的可用性目前公司的服務(wù)器在部署時，有考慮到容量上的要求，現(xiàn)場查硬盤容量≥40%，CPU占用小于50%。√A.18.1.1A.18.1.2A.18.1.3A.18.1.4A.18.1.5可用法律及合同要求的識別知識產(chǎn)權(quán)（IPR）保護記錄隱私和個人身份信息保護密碼控制措施的規(guī)則提供內(nèi)有關(guān)法律法規(guī)適用性的識別要求。定期與執(zhí)法機關(guān)等人力行政部門聯(lián)絡(luò)，及時收集與信息安全管理有關(guān)法律、法規(guī)和其它信息。提供法律法規(guī)標準清單?！峁?/p>